Schutz vor Ransomware: Datenschutzbehörde kontrolliert bayerische Unternehmen

Out-Law News | 09 Dec 2021 | 1:25 pm | Lesedauer: 2 Min.

Das Bayerische Landesamt für Datenschutzaufsicht will überprüfen, ob bayerische Unternehmen sich ausreichend vor Hackerangriffen mit sogenannter Ransomware schützen.

Kleine und große Unternehmen werden immer häufiger Opfer von Ransomware-Attacken. Nun reagiert auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf die steigende Zahl von Angriffen: Die Behörde will überprüfen, ob bayerische Unternehmen sich selbst sowie die Daten ihrer Mitarbeiter und Kontakte angemessen vor Ransomware-Angriffen schützen.

 

Ransomware-Attacken sind eine Form von Cyber-Angriff, bei der Hacker eine Schad-Software im Computersystem einer Organisation installieren, die deren Mitarbeiter dann daran hindert, auf die Systeme zuzugreifen oder bestimmte Aufgaben auszuführen. Ziel dieser Angriffe ist es meist, ein Lösegeld vom Opfer zu erpressen. Laut Mitteilung des BayLDA blockieren die Hacker bei Ransomware-Attacken immer häufiger nicht nur den Zugang der Opfer zu ihren Daten und Systemen, sondern stehlen im gleichen Atemzug Daten, um sie zu veröffentlichen oder im Darknet an andere Kriminelle weiter zu verkauft.

„Neben der Verschlüsselung von Dateien samt exorbitanter Lösegeldforderung kommt es dabei vielfach auch zum Diebstahl sensibler Gesundheitsdaten, Kontodaten oder Bewerbungsunterlagen verbunden mit der Drohung, bei einer Verweigerung der Zahlung diese im Internet zu veröffentlichen“, so das BayLDA. Alleine innerhalb des letzten Jahres meldeten bayerischen Unternehmen dem BayLDA mehrere hundert Ransom-Angriffe. Die Lösegeldforderungen rangierten zwischen 10.000 bis 50 Millionen Euro. Besonders stark betroffen waren Unternehmen aus dem Mittelstand.

„Oft gehen die Angreifer gar nicht zielgerichtet vor, sondern streuen den Angriff auf möglichst viele potenzielle Targets, um die Trefferwahrscheinlichkeit zu erhöhen“, so Dr. Stephan Appt, Datenschutz-Experte bei Pinsent Masons. „Das führt manchmal sogar dazu, dass der Angreifer den Erfolg des spezifischen Angriffs zunächst gar nicht registriert und auf eine Kontaktaufnahme über die sogenannte Ransom Note erst später reagiert, was die Lage des betroffenen Unternehmens nicht einfacher macht, da man oft auch auf Hinweise des Angreifers zum Ausmaß des Angriffs angewiesen ist.“

„Ransomware-Attacken bergen gleich zwei Risiken in sich“, ergänzt Daniel Widmann, ebenfalls Datenschutz-Experte bei Pinsent Masons. „Unternehmen verlieren zum einen den Zugang zu Daten und Systemen, die sie benötigen, um ihre Betriebsabläufe aufrecht zu erhalten. Zum anderen verlagert sich der Schaden auch auf Lieferanten, Kunden, Patienten oder Beschäftigte, die durch den Diebstahl ihrer personenbezogenen und oftmals sensiblen Daten in ihren Datenschutzrechten verletzt werden.“

Um bayerische Betriebe unter anderem für die Gefahr von Ransomware zu sensibilisieren und zugleich die Einhaltung der Datenschutzvorschriften besser zu überwachen, hat die BayLDA nun eine eigene Stabstelle für Prüfverfahren ins Leben gerufen. Sie kontrolliert derzeit stichprobenartig, wie anfällig bayerische Unternehmen für Ransomware-Attacken sind. Dies soll der Startschuss für „eine Reihe anlassloser Kontrollen“ sein, so die Behörde. Der erste Schritt der Kontrolle besteht aus einer schriftlichen Prüfung, der aber weitere Kontrollen – auch vor Ort – folgen können. Der Prüfbogen kann auf der Homepage des BayLDA abgerufen werden. Die Handreichungen geben außerdem einen Überblick über Maßnahmen, die Unternehmen ergreifen können, um sich vor Ransomware-Angriffen zu schützen. Auch die Publikation Ransomware: Bedrohungslage, Prävention & Reaktion 2021 des Bundesamtes für Sicherheit in der Informationstechnik informiert über das aktuelle Risiko und erläutert, wie Unternehmen sich schützen können und sollten.

„Unternehmen sollten alle nötigen Maßnahmen ergreifen, um sowohl sich selbst als auch ihre Kontakte und Mitarbeiter vor Cyber-Angriffen zu schützen. Ist ein Hacker-Angriff dennoch erfolgreich und werden tatsächlich sensible Daten entwendet, müssen im Regelfall die Aufsichtsbehörden und zusätzlich bei Bestehen eines hohen Risikos für die betroffenen Personen auch diese über den Vorfall informiert werden. Andernfalls könnten Bußgelder sowie Schadensersatzansprüche gegen das Unternehmen geltend gemacht werden“, so Widmann.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät ausdrücklich davon ab, bei Cyber-Angriffen der Forderung nach Lösegeld nachzukommen. Lösegeldzahlungen würden den Erfolg des Angriffs untermauern und so dazu führen, dass die Schadsoftware weiterentwickelt und noch häufiger genutzt wird. Es bestehe zudem keine Garantie dafür, dass die Täter auf die Zahlung hin die Daten tatsächlich entschlüsseln und so für das Opfer wieder zugänglich machen. Zudem weisen Experten darauf hin, dass Unternehmen sich in bestimmten Fällen sogar strafbar machen können, wenn sie durch ihre Lösegeldzahlung beispielsweise Terroristen mitfinanzieren. Das BSI empfiehlt, im Fall einer Erpressung mit Ransomware unverzüglich Anzeige bei der Polizei zu erstatten.

„Erfahrungsgemäß sind Organisationen, die Zeit und Ressourcen in die Vorbereitung auf einen potenziellen Ransomware-Angriff aufwenden, eher in der Lage, ihn abzuwehren oder zumindest die Schäden zu begrenzen, die er ihnen und ihren Geschäftskontakten verursachen kann. Unternehmen tuen daher gut daran, zum einen alle nötigen technischen Präventivmaßnahmen zu ergreifen, zugleich aber auch eine Strategie für den Ernstfall auszuarbeiten“, so Widmann.